Sunburst attack: Wie funktioniert er und wie lassen sich die Risiken minimieren?

Der Sunburst-Supply-Chain-Angriff

Was ist ein Supply-Chain-Angriff?

Das“Lieferkette“ bezieht sich auf das Ökosystem rund um einen Dienstleister oder Produktanbieter und seine Geschäftspartner. Ein Angriff wird als „Supply-Chain-Angriff“ bezeichnet, wenn Teile der Software, aus denen dieses Ökosystem besteht, kompromittiert werden. Hacker treffen ihr Ziel, wenn Benutzer Software herunterladen, in die sie eingeführt haben Malware (bösartige Software).

Der Angriff kann anschließend automatisch andere Ziele innerhalb derselben Lieferkette infiltrieren. Angriffe auf die Lieferkette sind langwierig und komplex und werden in der Regel von erfahrenen Cyberkriminellen mit umfangreichen Ressourcen entwickelt.

‍

Das Sonnenbrand Der Fall ist ein perfektes Beispiel für einen Angriff auf die Lieferkette, da SolarWinds ist der Softwareanbieter für das kompromittierte Produkt verantwortlich Orion Software-Suite (softwarebasierte technische Lösungen, die Unternehmen zur Verwaltung ihrer IT-Infrastrukturen verwenden). Unternehmen und Organisationen, die mit Schadsoftware infizierte Versionen von Orion heruntergeladen haben, fielen dadurch dem Hack zum Opfer Drittanbieter Software, die Teil einer breiteren Lieferkette ist.

Was ist die Sunburst-Malware?

Am 8. Dezember 2020, Onlinesicherheit Fachleute FireEye veröffentlichte eine Erklärung, in der bekannt gegeben wurde, dass sie Opfer eines Angriffs auf einen Teil ihrer Intrusionstest-Tools (Red Team-Toolset) geworden sind. Sie gaben dieser Malware den Namen Sunburst. Das Unternehmen gab das an hochqualifizierte Cyberkriminelle waren die Ursache dieses Angriffs und dass sie höchstwahrscheinlich von einem Nationalstaat gesponsert wurden.

Viele Hypothesen deuteten darauf hin, dass hoch organisierte Gruppen verantwortlich sind, über beträchtliche Ressourcen verfügen und höchstwahrscheinlich von Russland unterstützt werden. Um den anhaltenden, groß angelegten Angriff durchzuführen, waren nach Schätzungen von Microsoft-CEO Brad Smith 1.000 Ingenieure erforderlich gewesen, verglichen mit den 500 Ingenieuren von Microsoft, die für den daraus resultierenden Ausfall engagiert wurden.

Was hat den Sunburst-Angriff motiviert?

Das wahrscheinliche Motiv für den Angriff war, dass ein Nationalstaat versuchte, vertrauliche Wirtschafts-, Finanz- oder Verteidigungsdaten (oder Daten über lebenswichtige Dienstleistungen) zu extrahieren. Mehrere Ministerien wurden ins Visier genommen und ihre E-Mails und Daten wurden extrahiert. Einige Experten und Kommentatoren stuften die Veranstaltung als Fall von ein Cyberspionage statt eines Cyberangriffs, da kompromittierte Daten und IT-Systeme weder beschädigt noch unterbrochen wurden und keine physischen Schäden an Stromnetzen oder Kommunikationsinfrastrukturen gemeldet wurden.

Es ist schwierig und zeitaufwändig, eine Verbindung zwischen der betrügerischen Erfassung von Daten oder Anmeldedaten und dem tatsächlichen, greifbaren Schaden herzustellen, den sie anrichten können, wie Chinas Angriff auf Equifax oder NotPetya im Jahr 2017 gezeigt hat, da die erwarteten Gewinne des nationalstaatlichen Sponsors langfristig und strategisch sind. Im Gegenteil, wenn Angriffe ausschließlich durch finanzielle Gewinne motiviert sind, kann der Zusammenhang zwischen einem Angriff und seinem Ergebnis schneller hergestellt werden, wie beim jüngsten Angriff auf die Colonial Pipeline.

‍

Opfer von Sunburst

Wer war vom Sunburst-Angriff betroffen?

Microsoft ist eines der Technologieunternehmen, die Opfer geworden sind, aber sie erklären, dass ihres Wissens keine Daten kompromittiert wurden. Nichtsdestotrotz qualifizierte Microsoft-CEO BradSmith Sunburst (auch bekannt als Solori Gate-Backdoor-Malware, in Microsoft-Kreisen) als“der wichtigste und raffinierteste Cyberangriff, den die Welt je gesehen hat“ (Quelle) in einem Interview für CBS.

Mehr als 33.000 Unternehmen und viele öffentliche Einrichtungen verwenden Orion-Produkte, die 2020 (vor dem Angriff) 343 Millionen Dollar einbrachten, was 45% des Umsatzes des Unternehmens (Formular 8-K von SolarWinds — SWI — SEC-Unterlagen vom 14. Dezember 2020). SolarWinds gibt an, alle seine 33.000 Geschäftskunden alarmiert zu haben, schätzt jedoch, dass rund 18.000 Unternehmen eine der kompromittierten Versionen heruntergeladen haben.

Wir wissen auch, dass neun amerikanische Ministerien ins Visier genommen wurden — das Finanzministerium, die CISA (Cybersecurity and Infrastructure Agency), das Department of Homeland Security, das State Department und das Department of Energy. Seitdem hat die stellvertretende Direktorin der CIA, Anne Neuberger, erklärt, dass die Zahl der Nichtregierungsorganisationen, die dem Angriff zum Opfer fielen, auf etwa 100 begrenzt wurde.

Wie wurde der Sunburst-Angriff durchgeführt?

In den ersten Tagen seiner Untersuchung stellte FireEye (ein Unternehmen zur Erkennung von Cyberangriffen) fest, dass Orion, Softwareentwickler SolarWinds Ein Tool zur Verwaltung und Überwachung von IT-Netzwerken war das Ziel eines Cyberangriff. Am 12. Dezember informierte FireEye SolarWinds darüber, dass seine Orion-Software durch die Injektion von bösartigem Code in seine legitimen Updates kompromittiert wurde.

Diese Hintertür ermöglichte es den Kriminellen dann, Zugriffsberechtigungen zu klonen oder neue zu erstellen, um illegal in die IT-Systeme des Unternehmens einzudringen.

Die von SolarWinds mit Hilfe der FBI, die CISA, und die Cybersicherheitsexperten Mandiant, FireEye und KPMG (unter anderem) haben seitdem eine Reihe extrem ausgeklügelter Maßnahmen beleuchtet, die über einen Zeitraum von mehr als einem Jahr durchgeführt wurden, um so lange wie möglich unentdeckt zu bleiben. SolarWinds gibt daher in seinen jüngsten Updates an, dass die Cyberkriminellen wahrscheinlich bereits Anfang 2019 an ihrem Code gearbeitet haben, um sich auf diesen beispiellosen Angriff vorzubereiten.

Wie genau wurde der Sunburst-Angriff durchgeführt?

Im September 2019 wurden die ersten Anzeichen verdächtiger Aktivitäten in den internen Systemen von SolarWinds festgestellt. Eine frühere Version von Orion schien modifiziert worden zu sein, um das Einfügen von Malware zu testen. Am 20. Februar 2020 wurde Sunburst über aDLL (Dynamic Link Library) in die Updates von Orion integriert.

Ab März 2020 wurde die Software infiziert und eine „Hintertür“ eingeführt, um die Software in ein trojanisches Pferd zu verwandeln. Die staatlich geförderten Hacker konnten daher auf Server zugreifen und sich Zugriffsrechte verschaffen, sodass sie gültige Zertifikate stehlen oder neue erstellen konnten. Dann konnten sie auf Cloud-Ressourcen zugreifen und Daten, E-Mails und mehr von den Unternehmen extrahieren, die infizierte Versionen von Orion heruntergeladen hatten.

Den Erstellern des Angriffs gelang es im Juni 2020, die Sunburst-Malware aus der SolarWinds-Umgebung zu löschen, ohne entdeckt zu werden.

Erst am 12. Dezember wurde SolarWinds über den Cyberangriff von FireEye informiert und ein Protokoll eingeführt, um Kunden zu informieren und zu schützen und Ermittlungen zu dem Angriff einzuleiten. Von diesem Zeitpunkt an führte SolarWinds Untersuchungen durch, um Sicherheitslücken in seinem Orion-Produkt zu analysieren und zu beheben.

Abfolge der Maßnahmen zwischen Anfang 2019 und der Ankündigung eines Kompromisses durch FireEye im Dezember 2020.

Was waren die Folgen des Sunburst-Angriffs?

Im Fall von Sonnenbrand, es ist immer noch schwierig, die Folgen für die Unternehmen, die gefährdet wurden, vollständig zu verstehen, wie genau sie kompromittiert wurden und wie tiefgreifend der Kompromiss war. Wir werden vielleicht nie erfahren, welche Daten konsultiert, extrahiert oder verwendet wurden.

Nichtsdestotrotz können wir beginnen, einige erhebliche direkte Kosten abzuschätzen, die mit dem Ermittlung und als Reaktion darauf ergriffene Maßnahmen — interne Ausgaben sowie externe Fähigkeiten, die für die Suche nach Sicherheitslücken und die Analyse von Kompromissen erforderlich sind. Wir können auch die Projekte berechnen, die durchgeführt wurden, um die Probleme zu beheben und „die Lücken zu schließen“, um die IT-Systeme weiter abzusichern.

Microsoft spricht beispielsweise davon, 500 Techniker zu mobilisieren, um den Angriff zu analysieren und darauf zu reagieren, während SolarWinds berichtet, fast 19 Millionen Dollar für das Vorfallmanagement und andere Abhilfemaßnahmen ausgegeben zu haben. Wir können uns leicht vorstellen, dass die rund 100 Nichtregierungsorganisationen, die der CISA erwähnt, alle erhebliche Ressourcen bereitgestellt haben, um auf diese Kompromisse zu reagieren und ihre Kontrollen zu verstärken.

Externe Prüfungen und sogar erhöhte Versicherungsprämien sind weitere Beispiele für Kosten, die nach einem Cyberangriff in die Höhe schnellen können (z. B. die jüngsten Nachrichten über die Software-Sicherheitslücke von Log4J).

Rufschädigung und entgangener Umsatz kann auch Kosten bedeuten. Diese Auswirkungen sind zwar sehr schädlich, aber bekanntermaßen schwierig (wenn nicht gar unmöglich) zu quantifizieren, insbesondere für Regierungsbehörden und andere öffentliche Organisationen, da sie definitionsgemäß keinen Umsatz bringen und keinen Unternehmenswert haben.

Unternehmen, die Umsätze erzielen, und solche, die an der Börse notiert sind, spüren die Auswirkungen jedoch. Zum Beispiel der Aktienkurs von SolarWinds verlor 20% seines Wertes in den Tagen nach dem Angriff und 40% bis Ende der Woche.

Trotzdem ist der Wert des Unternehmens 12 Monate später unter Berücksichtigung des Verkaufs seiner MSP-Aktivitäten (die jetzt unabhängig als N-Able an der Börse notiert sind) höher als Anfang Dezember 2020. Der gemeldete Umsatz für das halbe Jahr nach dem Vorfall stieg ebenfalls weiter an, obwohl einige Beobachter der Ansicht sind, dass er schneller hätte wachsen können.

Andere Unternehmen, die sich auf Cybersicherheit spezialisiert haben, wie FireEye und Microsoft, verzeichneten ebenfalls einen Anstieg ihres Werts, Umsatzes und Gewinns, obwohl sie Sunburst und anderen groß angelegten Hacks zum Opfer fielen.

Wie können Sie sich vor einem Supply-Chain-Angriff wie Sunburst schützen?

Das Ziel von Risikomanagement besteht darin, die wahrscheinlichen Verluste durch zukünftige Angriffe auf einem für Unternehmen akzeptablen Niveau zu halten und dabei zu helfen, Maßnahmen und Kontrollen zu identifizieren, die entweder die Anzahl der erlittenen Angriffe und/oder deren finanzielle Auswirkungen.

Welche Maßnahmen können Sie ergreifen, um diese Art von Cyberangriffen zu vermeiden?

IT-Umgebungen müssen gesichert werden, um Angriffe zu vermeiden oder deren Häufigkeit zu reduzieren. Es gilt, einige grundlegende bewährte Methoden zu implementieren, z. B. die sofortige Anwendung von Patches für Zero-Day-Schwachstellen — mit anderen Worten, sobald ein Patch zum Update verfügbar ist, sollte er sofort angewendet werden.

Aber selbst mit dem besten Willen der Welt werden bewährte Verfahren niemals alleine funktionieren. Wenn ein Angriff so weit verbreitet und ausgeklügelt ist wie Sonnenbrand, selbst Unternehmen und Regierungsorganisationen, die für ihre weltweit führenden Sicherheits- und Investitionen in Sicherheitsfragen bekannt sind, sind offensichtlich fehlbar und können nicht immer vermeiden, gefährdet zu werden.

Es erscheint daher unrealistisch, dass Unternehmen mit begrenzten Ressourcen sich um jeden Preis vor dieser Art von Angriffen schützen. Wir wissen jedoch, dass es sich bei dem Sunburst-Angriff um einen Fall von Cyberspionage handelte, der die Auswahl der Opfer diktierte. Organisationen, bei denen es sich nicht um Ministerien oder multinationale IT-Unternehmen handelt, wären zweifellos nicht ins Visier genommen worden.

‍

So reduzieren Sie die Auswirkungen dieser Art von Cyberangriffen

Es ist offensichtlich, dass Sicherheit allein nicht ausreicht; wir müssen Entwicklung der Widerstandsfähigkeit von Unternehmen und die Fähigkeit, einen Angriff zu überstehen und sich so schnell wie möglich von ihm zu erholen, wobei der Schaden am wenigsten nachhaltig ist. Vor allem ist es daher wichtig, sich auf potenzielle Cyberangriffe vorzubereiten.

Unternehmen sollten Maßnahmen vorbereitet haben, um die Auswirkungen eines Angriffs einzudämmen, und Maßnahmen ergreifen, die zu einer rechtzeitigen Wiederherstellung führen:

- Erkennen Sie Eindringlinge und unbefugte Aktivitäten schnell, um die Schadensdauer zu verkürzen

- Begrenzen Sie die Ausbreitung von Malware, indem Sie Netzwerke segmentieren oder Systeme und Software regelmäßig aktualisieren

- Schulen Sie engagierte Teams für die Reaktion auf und das Management von Vorfällen sowie interne und externe Rechtsteams

- Erstellen Sie eine Krisenmanagement und Kommunikationsplan

- Wenden Sie sich für Untersuchungen an technische Experten und Berater

Um Ihnen zu helfen, die Auswirkungen dieser Art von Cyberangriffen zu verringern und Ihnen zu helfen, nach einem Cyberangriff wieder auf die Beine zu kommen, finden Sie hier einige Artikel, die Sie interessieren sollten.

- EIN TROPFEN: wie man die Erholung nach einer Cyberkrise plant

- Plan zur Geschäftskontinuität: Planung und Vorbereitung eines Cyberangriffs

- Krisenmanagement: Wie man eine Cyberkrise effektiv bewältigt